CCNA Exploration 4 Acceso a la WAN
Captulo 4: Seguridad de la Red Empresarial
Ricardo Jos Chois Antequera INSTITUTO TECNOLGICO DE SOLEDAD ATLNTICO - ITSA
Version 4.0
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
Ricardo Chois - rchois@[Link]
�Objetivos
Describir los mtodos generales para mitigar los ataques de seguridad a las redes empresariales.
Configurar la seguridad bsica del router. Explicar como deshabilitar servicios e interfaces no utilizadas en routers Cisco. Explicar como usar el SDM de Cisco. Administrar el IOS de los routers Cisco.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link]
�Creciente amenaza
Trminos usados para describir personas atacantes:
Hacker de sombrero blanco Busca vulnerabilidades e informa para correccin. Hacker Trmino general para describir expertos en programacin. Hacker de Sombrero negro Busca beneficio personal o econmico. p.e: Cracker Cracker Busca acceso a la red con intencin maliciosa. Phreaker Manipula red telefnica. Llamadas de larga distancia gratuitas. Spammer Envi de correo no solicitado. Phisher (Estafador) Engaa por algn medio para obtener informacin confidencial.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link]
�Piense como un agresor
1. Realizar un anlisis del perfil (reconocimiento)
Por la pgina web de la empresa, pueden saber la IP del servidor.
2. Enumerar los datos
Amplan informacin buscando versiones de los servidores y buscan vulnerabilidades conocidas de stas versiones.
3. Manipular a los usuarios para obtener acceso
Se aprovechan de contraseas simples o engaan a los empleados.
4. Aumentar los privilegios
Utilizando sus habilidades aumentan privilegios en la red.
5. Recopilar ms contraseas y secretos
Utilizan su talento para acceder a informacin confidencial bien protegida.
6. Aprovecharse del sistema comprometido
Utilizan el equipo comprometido para perpetuar otros equipos de la red.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link]
�Redes Abiertas Vs. Redes Cerradas
Abierta Permite todo lo que no esta explcitamente denegado. Cerrada Se deniega lo que no esta explcitamente permitido. Restrictiva Combinacin de permisos especficos y restricciones especficas.
Ms difcil de configurar y administrar Ms difcil para los usuarios finales acceder a los recursos de la red El ms costoso
Fcil de configurar y administrar Fcil para los usuarios finales acceder a los recursos de la red Menos costoso
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link]
�Amenazas comunes de seguridad
En el anlisis de la seguridad de la red, los tres factores comunes son:
Vulnerabilidad Grado de debilidad inherente a cada red y cada dispositivo. Amenaza Personas interesadas y calificadas para aprovechar cada una de las debilidades en materia de seguridad Ataque Accin tomada por la amenaza.
Existen 3 tipos de vulnerabilidades o debilidades:
Tecnolgicas TCP/IP, Sistemas Operativos, Equipos de red, etc.
De Configuracin Cuentas de usuario, Servicios de Internet, Valores Predeterminados, Equipos de red mal configurados, etc.
En la Poltica de Seguridad No hay polticas de seguridad, Falta de continuidad, no hay plan de recuperacin de desastres, etc.
Hay 4 tipos de amenazas fsicas:
Hardware Evitar accesos no autorizados a travs de puerta, cielorraso, monitoreo, cmaras de seguridad, etc. Ambientales Controles de temperatura, humedad. Alarmas ambientales. Elctricas Sistemas de UPS, planes de mantenimiento preventivo, fuentes de energa redundantes, sistemas de alarma y vigilancia. Mantenimiento Control de acceso a puertos de consola, provisiones de repuestos, etiquetar cables y componentes fundamentales.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
Ricardo Chois - rchois@[Link]
�Amenazas a las redes
Tipos de amenazas a las redes:
No Estructuradas Personas sin experiencia con herramientas de piratera. Estructuradas Personas tcnicamente ms competentes. Herramientas ms sofisticadas. Externas Personas u organizaciones fuera de la empresa. Internas Personas con acceso autorizado a la red.
La Ingeniera Social, consiste en engaar a los empleados de una organizacin para obtener informacin valiosa. No requiere habilidad informtica
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link]
�Tipos de ataques a las redes
Ataques de reconocimiento
Consultas a travs de Internet Barridos de Ping Escaneo de Puertos Programas detectores de paquetes
Ataques de Acceso
Ataque de contraseas Explotacin de confianza Reorientacin de puertos Man-in-the-middle
Ataques de Denegacin de Servicio (DoS)
Ping de la muerte Saturacin SYN DDoS Smurf
Gusanos, Virus y Troyanos
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
Ricardo Chois - rchois@[Link]
�Tcnicas de mitigacin de ataques a las redes
Aseguramiento de dispositivos (Hardening) Software Antivirus
Detectar virus conocidos Controlar procesos sospechosos
Firewall Personal
Intentan impedir ataques.
Parches para Sistemas Operativos
Del proveedor del SO Con un servidor central. P.e: WSUS
Reemplazan los anteriores firewall PIX. Contienen: firewall, seguridad de voz, VPN de SSL e IPSec, IPS y servicios.
Deteccin y Prevencin de Intrusiones
IDS Slo detectan. Existen HIDS (para los Hosts) IPS Previenen y Reaccionan. HIPS (para los Hosts)
Aplicaciones y dispositivos.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link]
�La rueda de seguridad de la red
Paso 1. Asegurar
Defensa contra amenazas Inspeccin de estado y filtrado de paquetes.
Paso 2. Controlar
Mtodos activos (IPS) y pasivos (IDS) de deteccin. Auditora de archivos.
Paso 3. Probar
Se prueban las soluciones de seguridad Herramientas a nivel de Host como:
SATAN Nessus Nmap
Paso 4. Mejorar
Anlisis de datos recuperados durante el control y las pruebas Como consecuencia de este paso se adicionan tems al paso 1.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
Ricardo Chois - rchois@[Link] 10
�Poltica de seguridad de la Empresa
"Una poltica de seguridad es una declaracin formal de las reglas a las cuales se debe adherir el personal que tiene acceso a los bienes tecnolgicos y de informacin de una organizacin". (RFC 2196, Manual de seguridad de sitio)
Es un documento dinmico que tiene los siguientes componentes bsicos:
Declaracin de autoridad y alcance. Poltica de Uso Aceptable Poltica de Identificacin y Autenticacin. Poltica de Acceso a Internet Poltica de Acceso al campus.
Sitio recomendado para ejemplos: [Link]
Adems puede contener en algunos casos:
Poltica de solicitud de cuentas de acceso. Poltica de evaluacin de adquisiciones Poltica de auditora. Poltica de confidencialidad de la informacin. Poltica de contraseas
Funciones
Etc.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 11
�Configuracin bsica de seguridad en el router
Recuerde que los routers:
Publican las redes y filtran a quienes pueden utilizarlas. Proporcionar acceso a los segmentos de las redes y a las subredes.
Por lo anterior son el principal objetivo de ataques.
Control de Acceso Puede exponer los detalles de configuracin de la red. Tablas de enrutamiento Disminuir rendimiento, DoS, exponer informacin. Configuracin incorrecta de filtros Expone la red a escaneos y ataques.
Aqu se deben aplicar las caractersticas de seguridad.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 12
�Aplicacin de las caractersticas de seguridad del IOS
Planifique los pasos de la configuracin de seguridad del IOS.
Paso 1 Consiste en la configuracin de contraseas.
Aplique las mejores prcticas (frecuencia de cambio, combinaciones, longitud).
Se recomienda contraseas con frases. Por ejemplo: Mi espa favorito es James Bond 007 se traduce como MefeJB007
Paso 2 A medida que crece la red se hace necesario.
Utilice SSH en lugar de Telnet, ya que ste ltimo enva el texto no cifrado.
Paso 3 Consiste en tener un host dedicado a registrar la actividad.
Considere la posibilidad de enviar a un segundo dispositivo. Un ejemplo de servidor syslog es el Kiwi Syslog Deamon.
Paso 4 Consiste en deshabilitar interfaces y servicios innecesarios.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 13
�Configuracin de SSH
Paso 1. Configure los parmetros del router
Router(config)#hostname R2
Paso 2. Configure el nombre de dominio
R2(config)#ip domain-name [Link]
Paso 3. Genere claves asimtricas
R2(config)#crypto key generate rsa
Paso 4. Configure la autenticacin local y VTY.
R2(config)#username student secret cisco R2(config)#line vty 0 4 R2(config-line)#transport input ssh R2(config-line)#login local
Paso 5. Configure los tiempos de espera (Opcional)
R2(config)#ip ssh time-out 15 R2(config)#ip ssh authentication-retries 2
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 14
�Servicios vulnerables en el router.
Los routers Cisco admiten una gran cantidad de servicios, en la siguiente tabla se muestran algunos y las recomendaciones asociadas.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 15
�Servicios vulnerables en el router (Continuacin).
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 16
�Servicios de administracin vulnerables en el router
SNMP
Protocolo estndar de monitoreo y la administracin remota. Las versiones anteriores a la 3, transportan texto sin cifrar. Utilice versin 3.
NTP
Lo utilizan para mantener relojes con la hora del da exacta Normalmente hay una jerarqua NTP, un temporizador maestro que da la hora al resto. Si no hay jerarqua. Mejor desactivar.
DNS
No ofrece autenticacin De manera predeterminada se envan a [Link] Utilice explcitamente la direccin del servidor ip domain-server [Link] De lo contrario, no ip domain-lookup
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 17
�Configurar la proteccin de protocolos de enrutamiento
RIPv2 Paso 1. Evitar propagacin de actualizaciones de enrutamiento.
Router(config)#router rip Router(config-router)#passive-interface default Router(config-router)#no passive-interface s0/0/0
Paso 2. Evitar recepcin de actualizaciones sin autorizacin.
Router(config)#key chain RIP_KEY Router(config-keychain)#key 1 Router(config-keychain-key)#key-string clave Router(config)#int s0/0/0 Router(config-if)#ip rip authentication mode md5 Router(config-if)#ip rip authentication key-chain RIP_KEY
Paso 3. Verificar el enrutamiento
Router(config)#sh ip route rip
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 18
�Configurar la proteccin de protocolos de enrutamiento
EIGRP Paso 1. Evitar propagacin de actualizaciones de enrutamiento.
Router(config)#router eigrp 1 Router(config-router)#passive-interface default Router(config-router)#no passive-interface s0/0/0
Paso 2. Evitar recepcin de actualizaciones sin autorizacin.
Router(config)#key chain EIGRP_KEY Router(config-keychain)#key 1 Router(config-keychain-key)#key-string clave Router(config)#int s0/0/0 Router(config-if)#ip authentication mode eigrp 1 md5 Router(config-if)#ip authentication key-chain eigrp 1 EIGRP_KEY
Paso 3. Verificar el enrutamiento
Router(config)#sh ip route eigrp
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 19
�Configurar la proteccin de protocolos de enrutamiento
OSPF Paso 1. Evitar propagacin de actualizaciones de enrutamiento.
Router(config)#router ospf 10 Router(config-router)#passive-interface default Router(config-router)#no passive-interface s0/0/0
Paso 2. Evitar recepcin de actualizaciones sin autorizacin.
Router(config)#int s0/0/0 Router(config-if)#ip ospf message-digest-key 1 md5 clave Router(config-if)#ip ospf authentication message-digest Router(config)#router ospf 10 Router(config-router)#area 0 authentication message-digest
Paso 3. Verificar el enrutamiento
Router(config)#sh ip route ospf
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 20
�Bloqueo del router con AutoSecure de Cisco
Utiliza un nico comando para desactivar procesos y servicios no esenciales del sistema y elimina amenazas de seguridad potenciales. Tiene 2 modos:
Modo interactivo: Le indica opciones para activar y desactivar servicios y otras caractersticas de seguridad. Es el modo predeterminado. Modo no interactivo: Ejecuta automticamente el comando auto secure con la configuracin predeterminada recomendada de Cisco. Este modo se activa con la opcin del comando no-interact.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 21
�SDM (Security Device Manager)
Herramienta Web de administracin. Proporciona asistentes inteligentes de configuracin Admite una amplia gama de versiones de IOS de Cisco. Esta preinstalado en los nuevos routers. Los archivos se pueden instalar en el router o un el PC o en ambos.
En el PC ahorra la memoria del router Herramienta para usuarios ms avanzados:
ACLs El editor de cryto maps para VPNs Firewall IPS Vista preliminar de la CLI de Cisco
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
Ricardo Chois - rchois@[Link] 22
�Configuracin del router para usar SDM
Paso 1. Obtenga acceso a la interfaz CLI de Cisco del router mediante la conexin Telnet o de consola Paso 2. Active los servidores HTTP y HTTPS en el router Paso 3. Cree una cuenta de usuario configurada con nivel de privilegio 15 (active los privilegios) Paso 4. Configure SSH y Telnet para la conexin local y nivel de privilegio 15
Luego inicie el SDM desde el navegador con la direccin [Link]
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
Ricardo Chois - rchois@[Link] 23
�Pgina de inicio del SDM
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 24
�Sistemas de Archivos
Los dispositivos con el IOS de Cisco cuentan con una caracterstica denominada Sistema de archivos integrados (IFS). Permite crear, navegar y manipular directorios en un dispositivo Cisco El comando show file system roporciona informacin til, como la cantidad de memoria disponible y libre, el tipo de sistema de archivos y sus permisos. Slo lectura (ro), slo escritura (wo) y lectura y escritura (rw).
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 25
�Sistemas de Archivos
Asegrese de mantener copias de seguridad de los archivos de configuracin de inicio y del IOS del dispositivo.
R2# copy running-config startup-config R2#copy system:running-config nvram:startup-config R2# copy running-config tftp: R2# copy system:running-config tftp: R2# copy tftp: running-config R2# copy tftp: system:running-config R2# copy tftp: startup-config R2# copy tftp: nvram:startup-config
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 26
�Normas de denominacin de archivos del IOS de Cisco
Otros posibles conjuntos de caractersticas son:
i: designa el conjunto de caractersticas IP j : designa el conjunto de caractersticas empresariales (todos los protocolos)s: designa un conjunto de caractersticas PLUS (ms colas, manipulacin o traducciones) 56i: designa la encriptacin DES de IPsec de 56 bits 3: designa el firewall/IDS
k2: designa la encriptacin 3DES de IPsec (168 bits)
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 27
�Hacer copia de seguridad del IOS del dispositivo
Paso 1. Haga ping al servidor TFTP Paso 2. Verifique el tamao del IOS y si el servidor tiene el espacio. Paso 3. Copie el archivo de la flash del router al servidor tftp
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 28
�Actualizacin de imagen de IOS del dispositivo
Cada signo de exclamacin (!) significa que un segmento del UDP se ha transferido con xito.
Si no hay espacio suficiente el dispositivo le pedir borrar la flash para liberar espacio.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 29
�Restauracin de imagen del software IOS desde ROMmon
Paso 1. Conecte los dispositivos
Conecte la PC del administrador del sistema al puerto de consola del router afectado. Conecte el servidor TFTP al primer puerto Ethernet del router. En la figura, R1 es un router Cisco 1841; por lo tanto, el puerto es Fa0/0. Active el servidor TFTP y configrelo con la direccin IP esttica [Link]/24.
Paso 2. Inicie el router y defina las variables de ROMmon.
Paso 3. Introduzca el comando tftpdnld en el indicador de ROMmon.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 30
�Restauracin de imagen del software IOS con Xmodem
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 31
�Comandos para la resolucin de problemas
La figura resume las caractersticas de los comandos show y debug.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 32
�Recuperacin de contraseas
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 33
�Resumen
Los ataques de seguridad a la red empresarial incluyen:
Ataques No Estructurados
Ataques Estructurados
Ataques Externos Ataques Internos
Mtodos para mitigar los ataques:
Hardening de dispositivos Uso de software antivirus Firewalls personales Descargar actualizaciones de seguridad
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 34
�Resumen
La seguridad bsica del router involucra:
Seguridad fsica Actualizar y hacer copia de seguridad al IOS Hacer copia de seguridad a los archivos de configuracin Configuracin de contraseas Llevar registro de la actividad del router.
Deshabilitar interfaces y servicios no usados para minimizar los ataques de los intrusos. Cisco SDM
Una herramienta de administracin web para configurar la seguridad de los routers Cisco.
Cisco IOS Integrated File System (IFS)
Permite la creacin, navegacin y manipulacin de directorios en un dispositivo Cisco.
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Ricardo Chois - rchois@[Link] 35
� 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
36
